路径: 主页 > YD/T > 第21页 > YD/T 2407-2013 | 标准编号 | YD/T 2407-2013 (YD/T2407-2013) | | 中文名称 | 移动智能终端安全能力技术要求 | | 英文名称 | Technical requirements for security capability of smart mobile terminal | | 行业 | 邮电行业标准 (推荐) | | 中标分类 | M36 | | 国际标准分类 | 33.060 | | 字数估计 | 20,259 | | 引用标准 | YD/T 1699-2007; YD/T 1760-2012 | | 采用标准 | ITU-T X.msec-6-2012, NEQ | | 标准依据 | 工业和信息化部公告2013年第23号;行业标准备案公告2014年第2号(总第170号) | | 发布机构 | 工业和信息化部 | | 范围 | 本标准规定了移动智能终端安全能力的技术要求, 包括移动智能终端硬件安全能力、移动智能终端操作系统安全能力、移动智能终端外围接口安全能力、移动智能终端应用层安全要求、移动智能终端用户数据保护安全能力等, 并对安全能力进行了分级。本标准适用于各种制式的移动职能终端, 个别条款不适用于特殊行业、专业应用, 其他终端也可参考使用。 | YD/T 2407-2013: 移动智能终端安全能力技术要求
YD/T 2407-2013 英文名称: Technical requirements for security capability of smart mobile terminal
中华人民共和国通信行业标准
移动智能终端安全能力技术要求
1 范围
本标准规定了移动智能终端安全能力的技术要求,包括移动智能终端硬件安全能力、移动智能终端
操作系统安全能力、移动智能终端外围接口安全能力、移动智能终端应用层安全要求、移动智能终端用
户数据保护安全能力等,并对安全能力进行了分级。
本标准适用于各种制式的移动智能终端,个别条款不适用于特殊行业、专业应用,其他终端也可参考使用。
4 移动智能终端安全能力框架及目标
4.1 移动智能终端安全能力框架
图1为移动智能终端安全能力框架,主要包括5个部分:最底层是移动智能终端硬件安全能力,之上
为操作系统安全能力,顶层为应用层安全要求,外围接口安全能力涉及操作系统层面和硬件安全层面,
用户数据保护安全能力涉及硬件、操作系统和应用软件3个层面。
4.2 移动智能终端安全目标
4.2.1 硬件安全目标
移动智能终端硬件安全目标是在芯片级保证移动通信终端内部闪存和基带的安全,确保芯片内系统
程序、终端参数、安全数据、用户数据不被篡改或非法获取。
4.2.2 操作系统安全目标
操作系统安全目标是达到操作系统对系统资源调用的监控、保护和提醒,确保涉及安全的系统行为
总是在受控的状态下,不会出现用户在不知情情况下某种行为的执行,或者用户不可控行为的执行。另
外,操作系统还应保证自身的升级是受控的。
4.2.3 外围接口安全目标
外围接口包括无线外围接口、有线外围接口。外围接口的安全目标是确保用户对外围接口的连接及
数据传输的可知和可控。
4.2.4 应用层安全目标
应用层安全目标是要保证移动智能终端对要安装在其上的应用软件可进行来源的识别,对已经安装
在其上的应用软件可以进行敏感行为的控制。另外,还要确保预置在移动智能终端中的应用软件无损害
用户利益和危害网络安全的行为,例如恶意吸费、未经授权的修改、删除、向外传送用户数据等行为。
4.2.5 用户数据保护安全目标
用户数据保护安全目标是要保证用户数据的安全存储,确保用户数据不被非法访问、不被非法获取、
不被非法篡改,同时能够通过备份保证用户数据的可靠恢复。
5 移动智能终端安全能力技术要求
5.1 基本要求
移动智能终端应通过给用户相关提示和让用户确认的方式来防范安全威胁,当第三方应用调用相关
功能时,操作系统所应具备给用户相关提示和让用户确认的能力。
给用户的提示可以是图标提示、文字提示或其他明显的提示方式。在操作执行期间,提示应足够引起用户的注意。
用户确认应使用户有选择的权利,即用户应能确认也能取消。
用户确认如无特别说明,则认为以下3种确认方式均可:
- 应用软件每一次调用行为发生时进行确认;
- 应用软件首次调用行为发生时确认,本确认在一定时间内有效,确认应针对每一个调用行为单独确认;
- 应用软件首次安装或调用行为发生时确认,本确认对该软件长期有效,确认应针对每一个调用行为单独确认。
本章所提及的给用户提示和用户确认,均指由第三方应用调用相关功能时,操作系统所应具备的能
力。对于第三方应用通过调用操作系统提供的人-机接口执行的操作,认为是在用户知情的情况下执行
的操作,已经给用户提示并得到用户的确认。
对于应用软件安全配置中设置为允许访问的操作,也认为是在用户知情的情况下执行的操作,已经
得到用户的确认。
对于移动通信网络连接、无线局域网络连接、无线外围接口的开启操作在任何情况下都应给用户提
示并经用户确认。
5.3 和 5.4 节所提及的安全能力要求,仅适用于当第三方应用调用操作系统提供的相应功能的情况。
5.5.1、5.5.2 和 5.5.3 所提及的应用软件是指非预置的应用软件。
5.2 移动智能终端硬件安全能力要求
如果移动智能终端硬件提供了远程操作手段,则移动智能终端应对其远程操作手段进行保护,防止
远程操作被恶意利用。
5.3 移动智能终端操作系统安全能力要求
5.3.1 安全调用控制能力
5.3.1.1 通信类功能受控机制
5.3.1.1.1 拨打电话
应用软件调用执行拨打电话操作时,应在用户确认的情况下,拨打操作才能执行。
5.3.1.1.2 三方通话
应用软件调用执行三方通话操作时,应在用户确认的情况下,三方通话操作才能执行。
5.3.1.1.3 发送短信
应用软件调用执行发送短信操作时,应在用户确认的情况下,发送短信操作才能执行。
5.3.1.1.4 发送彩信
应用软件调用执行发送彩信操作时,应在用户确认的情况下,发送彩信操作才能执行。
5.3.1.1.5 发送邮件
应用软件调用执行发送邮件操作时,应在用户确认的情况下,邮件发送操作才能执行。
5.3.1.1.6 移动通信网络数据连接
移动智能终端通信网络数据连接,应满足以下安全能力要求:
a) 移动智能终端应提供开关,可开启/关闭移动通信网络数据连接;
b)应用软件调用开启移动通信网络数据连接功能时,应给用户相应的提示,当用户确认后连接方可开启;
c) 移动通信网络当移动通信网络的数据连接处于已连接状态,移动智能终端应在用户主界面上给用
户相应的状态提示;
d)当移动通信网络正在传送数据时,移动智能终端应在用户主界面上给用户相应的状态提示。
上述c)和d)的两种状态提示应不同。
5.3.1.1.7 WLAN 网络连接
移动智能终端WLAN网络连接应满足以下安全能力要求:
a) 移动智能终端应提供开关,可开启/关闭WLAN网络连接;
b)应用软件调用开启WLAN网络连接功能时,应给用户相应的提示,当用户确认后连接方可开启;
c) 当WLAN网络连接处于已连接状态,移动智能终端应在用户主界面上给用户相应的状态提示;
d)当WLAN网络正在传送数据时,移动智能终端应在用户主界面上给用户相应的状态提示。
上述c)和d)的两种状态提示应不同。
5.3.1.2 本地敏感功能受控机制
5.3.1.2.1 定位功能
应用软件调用定位功能时,移动智能终端应在用户确认的情况下才能调用。调用后,移动智能终端
宜在用户主界面上给用户相应的状态提示。
5.3.1.2.2 通话录音功能
通话录音是指在通话状态下录取线路上双方的话音。当应用软件调用启动通话录音时,应在用户确
认的情况下才能开启。
5.3.1.2.3 本地录音功能
应用软件调用启动本地录音功能时,应在用户确认的情况下才能启动录音操作。
5.3.1.2.4 拍照/摄像功能
对于具备摄像头的移动智能终端,当应用软件启动拍照或摄像功能时,移动智能终端应给用户相应
的提示(图像预览、指示灯、声音或图标等),在用户确认的情况下方可执行拍照或摄像操作。
5.3.1.2.5 对用户数据的操作
移动智能终端操作系统应提供对用户数据保护的功能,能够对电话本数据、通话记录、短信数据、
彩信数据进行保护。具体要求如下:
a) 当应用软件调用对用户数据进行写操作时,移动智能终端应在用户确认的情况下方可执行;
b)当应用软件需要调用对用户数据的读操作时,该应用软件在下载、安装或首次运行时应提示用户
该应用将读取这些用户数据。
5.3.2 操作系统的更新
移动智能终端通常执行授权的操作系统更新,当不能保证操作系统安全的更新时,应在说明书中明
示用户可能带来的安全风险。
5.4 移动智能终端外围接口安全能力要求
5.4.1 无线外围接口安全能力要求
5.4.1.1 无线外围接口开启/关闭受控机制
对于具备蓝牙、NFC功能的移动智能终端应具备开关,可开启/关闭蓝牙、NFC等终端所支持的无线连接方式。
当应用软件调用开启无线外围接口时,移动智能终端应给用户相应的提示,当用户确认后连接方可开启。
5.4.1.2 无线外围接口连接建立的确认机制
当通过无线外围接口(仅适用于蓝牙)与不同设备进行第一次连接时,移动智能终端能够发现该连
接并给用户相应的提示,当用户确认建立连接时,连接才可建立。
示例:蓝牙配对机制。
5.4.1.3 无线外围接口连接状态提示
当移动智能终端的无线外围接口蓝牙已开启,移动终端宜在用户主界面上给用户相应的状态提示。
当移动智能终端通过无线外围接口蓝牙建立数据连接,移动智能终端应在用户主界面上给用户相应的状态提示。
当移动智能终端的无线外围接口NFC已开启,移动终端宜在用户主界面上给用户相应的状态提示。
当移动智能终端通过无线外围接口NFC建立数据连接,移动智能终端应给用户相应的提示(图标、声音或振动等)。
如果移动智能终端提供了无线外围接口的开启状态提示和数据连接状态提示,该两种状态提示应不同。
5.4.1.4 无线外围接口数据传输的受控机制
当移动智能终端与其他设备已经通过无线外围接口(蓝牙或NFC)实现连接,此时通过无线外围接
口进行文件数据传输时,移动智能终端应给用户相应的提示。
5.4.2 有线外围接口安全能力要求
5.4.2.1 有线外围接口连接建立的确认机制
对于仅用于充电或仅用于数据连接的有线外围接口,当通过该接口建立连接时,移动智能终端应给
用户相应的提示。
对于既可进行充电,又可进行数据连接的有线外围接口,当连接充电器时应给用户相应的提示,当
连接于既可进行充电又可进行数据连接的设备时,用户应能够选择是否建立数据连接模式或者能够保证
数据传输授权可控。
5.4.2.2 USB 存储模式的安全机制
如果移动智能终端支持内置式USB存储模式(U盘模式),则应提供访问控制方式。
5.5 移动智能终端应用层安全要求
5.5.1 应用软件安全配置能力要求
移动智能终端可提供机制对所安装的第三方应用软件的调用行为进行配置,包括对拨打电话、发起
三方通话、发送短信、发送彩信、调用移动通信网络数据连接、调用定位功能、进行通话录音、本地录
音、拍照/摄像、访问电话本、访问通话记录、访问短信和访问彩信的控制。
对以上调用行为进行控制至少有允许调用和禁止调用两种状态。推荐允许调用、每次调用时询问用
户和禁止调用3种状态。如果移动智能终端可支持对以上调用行为中的3种或3种以上进行配置,即认为满
足应用软件安全配置能力要求。
5.5.2 应用软件安全认证机制要求
5.5.2.1 非认证签名要求
如果移动智能终端支持对未经认证签名的软件下载和应用,在进行应用软件安装时移动智能终端应
能够识别应用软件的签名状态,并能够根据签名状态给用户相应的提示。
5.5.2.2 认证签名要求
如果移动智能终端采用认证签名机制,在此情况下,未经过认证签名的应用软件仅当用户进行确认
后才能执行下一步操作。
5.5.3 移动通信网络开机自启动程序监控能力
如果移动智能终端具备第三方应用开机自启动程序的能力,应可以浏览和配置应用程序是否开机自启动。
5.5.4 预置应用软件安全要求
5.5.4.1 收集用户数据
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自收集用户数据的行为,
包括在用户无确认情况下开启通话录音、本地录音、拍照/摄像和定位行为。
5.5.4.2 修改用户数据
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自修改用户数据的行为,
包括在用户无确认情况下删除或修改用户电话本数据、通话记录、短信数据和彩信数据的行为。
5.5.4.3 调用终端通信功能
5.5.4.3.1 流量耗费
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自调用终端通信功能,造
成用户流量消耗的行为,包括在用户无确认情况下通过移动通信网络数据连接、WLAN网络连接、无线
外围接口传送数据的行为。
5.5.4.3.2 费用损失
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自调用终端通信功能,造
成用户费用损失的行为,包括在用户无确认情况下拨打电话、发送短信、发送彩信、开启移动通信网络
连接并收发数据的行为。
5.5.4.3.3 信息泄露
移动智能终端中预置的应用软件不应有未向用户明示且未经用户同意,擅自调用终端通信功能,造
成用户数据泄露的行为,包括在用户无确认情况下读取并传送用户电话本数据、通话记录、短信数据、
彩信数据、通话录音、本地录音、图片、视频、音频和定位信息的行为。
5.5.4.4 联网软件安全行为要求
移动智能终端中预置的联网应用软件参见YD/T 2382的相关要求。
5.6 移动智能终端用户数据安全保护能力要求
5.6.1 移动智能终端的密码保护
移动智能终端应支持开机时的密码保护和开机后锁定状态下的密码保护,例如口令、图案、生物特
征识别等多种形态的密码。其中,口令密码为必选的保护形式,其他形式为可选。口令认证的要求见YD/T
1699-2007 中5.5.2.1,生物特征认证的要求见YD/T 1699-2007 中5.5.2.3。
5.6.2 文件类用户数据的授权访问
移动智能终端提供文件类用户数据的授权访问能力,当第三方应用访问被保护的用户数据时,应在
用户确认的情况下才能访问。文件类用户数据包括图片、视频、音频和文档等。
5.6.3 用户数据的加密存储
未经授权的任何实体应不能从移动智能终端的加密存储区域的数据中还原出用户私密数据的真实内容。
5.6.4 用户数据的彻底删除
移动智能终端提供数据彻底删除功能,以保证被删除的用户数据不可再恢复出来。一般的删除功能
仅会删除数据在存储器件中放置位置的索引,而该区域内实际存储的数据没有完全清空,在数据被删除
之后,非法程序通过读取该区域的内容,仍有可能从读取到的数据中恢复被删除的私密数据。彻底删除
功能应把该区域内实际存储的数据彻底消除。例如,当终端用户数据被删除时,在该数据对应的存储区
域使用全“0”或全“1”进行多次填充。
5.6.5 用户数据的远程保护
移动智能终端应提供用户数据的远程保护能力,以便用户在手机遗失或其他情况下,终端中的用户
数据不被泄露。远程保护能力包括远程锁定移动智能终端和远程销毁用户数据。移动智能终端提供的远
程保护功能也应具备安全设置,确保远程保护功能仅在达到了用户预设条件的情况下才会启动。
该功能可参考开放移动联盟(OMA)组织发布的锁定和彻底删除管理对象标准OMA-TS-LAWMO。
5.6.6 用户数据的转移备份
移动智能终端应具备用户数据(至少包括电话本、短信、多媒体数据)的转移及备份能力。
用户数据的转移备份包括本地备份和远程备份两种:本地备份是通过移动智能终端的......
|